Quando sua empresa de segurança cibernética NorthBit foi adquirida pelo fornecedor de realidade aumentada Magic Leap, com sede na Flórida, Gil Dabah tornou-se chefe de segurança lá, supervisionando o trabalho de 700 engenheiros. Isto foi na altura em que o regulamento de privacidade europeu GDPR estava a entrar em vigor e as pessoas estavam a aprofundar a forma como os dados estavam a ser protegidos e armazenados, bem como quem tinha acesso a quê.
“Então imagine 700 engenheiros diariamente. Eles enviam dezenas de milhares de linhas de código, e você precisa ser capaz de responder o que está acontecendo com os dados, os dados do cliente que eventualmente temos em nossos servidores, certo?” ele disse. “E é muito difícil fazer isso.”
Isto se tornou a gênese de sua nova empresa Piiano, que leva o nome de seu foco na proteção de dados privados confidenciais.
“Foi daí que tivemos a ideia de que, se houver outros CISOs, ou gestores de segurança, em empresas de grandes empresas… e eles estiverem a perseguir centenas ou mais de programadores, estão a perder a batalha. Eles nunca serão capazes de entender o que está acontecendo com os dados que coletam sobre os clientes”, disse ele.
A empresa israelense lançou recentemente um analisador de código estático chamado Piiano Flows especificamente para detectar vazamentos de informações de identificação pessoal (PII), credenciais e informações financeiras em código armazenado em seu repositório online. Ele aponta o hack do Duolingo no início deste ano como o tipo de perda de dados que está tentando evitar.
Disponível gratuitamente, o Flows rastreia continuamente quando, onde e como os dados confidenciais estão sendo usados e armazenados durante o processo de desenvolvimento, permitindo que as equipes adotem uma abordagem mais proativa em relação à segurança antes que o código chegue à produção.
Com tantos aplicativos obtendo e armazenando uma infinidade de dados, é difícil acompanhar o uso dos diferentes tipos de dados com os quais os desenvolvedores estão lidando. E é fácil cometer erros, como não remover logs de depuração ou expor inadvertidamente dados confidenciais por meio de APIs públicas ou de terceiros.
O Flows é um scanner de código para dados, não para vulnerabilidades, como as ferramentas tradicionais de teste de segurança de aplicativos estáticos (SAST), disse Dabah.
“Empresas como Snyk, Checkmarx, Coverity procuram vulnerabilidades e estão em desenvolvimento. E o que estamos fazendo de diferente… é focar nos dados, mas durante o desenvolvimento, por isso oferecemos tudo o que você precisa, desde encontrar os problemas dentro do código até remediá-los ou retificá-los com nossas APIs de proteção de dados”, ele disse . Podem ser APIs de criptografia ou APIs de tokenização.
Seu modelo proprietário de processamento de linguagem natural (PNL) e algoritmos de análise de contaminação destacam qualquer código que toque em dados confidenciais, incluindo dados de entrada, saída e armazenados, para ajudar a encontrar problemas de privacidade e segurança, bem como pontos cegos que aparecem em tempo de execução.
Por que PNL? Os dados problemáticos no código podem aparecer apenas como mais uma variável, explicou ele. Digamos que este código contenha um nome, mas o nome do cliente pode ou não precisar ser mantido em sigilo. A PNL analisa as palavras que cercam a variável para determinar o tipo de dados envolvidos, disse ele, de modo que as palavras que cercam um país podem indicar que faz parte de um endereço que talvez não deva ser tornado público. O Flows fornece recomendações priorizadas para correção com base no risco.
A imagem mostra um vazamento no log de depuração de um nome de usuário como endereço de e-mail.
Você pode se conectar a repositórios de código no GitHub, GitLab, Assembla e BitBucket. Piiano Flows também está disponível como um contêiner independente que você pode executar localmente em sua base de código. Seu acesso é limitado ao código do repositório, e não aos ambientes de produção ou armazenamentos de dados de produção que contenham dados confidenciais do cliente.
Você pode encontrar Flows online sem instalar nada ou usá-lo offline com uma interface de linha de comando (CLI).
A abordagem da Piiano à segurança de dados em seu produto inicial, Piiano Vault, é que as organizações devem assumir que seu perímetro será violado. Mas como você protege os dados após uma violação?
Assim como um documento editado é de pouca utilidade para uma pessoa não autorizada que tenta lê-lo, Piiano se concentra em tornar os dados inutilizáveis caso um hacker os acesse. Isso é feito com técnicas como criptografia em nível de campo, tokenização, mascaramento e controle de acesso granular. Ele fornece suporte pronto para uso para requisitos regulatórios, como direitos de acesso do titular dos dados, consentimento, retenção, minimização, rastreabilidade e muito mais.
“O Piiano Vault é um cofre de privacidade de dados. Você pode pensar nisso como APIs de proteção de dados para simplificar. Isso significa que qualquer desenvolvedor no nível do aplicativo pode simplesmente criptografar os dados, apenas um segundo antes de armazená-los em um banco de dados”, disse Dabah, acrescentando que os dados criptografados podem ser armazenados em qualquer banco de dados. “Agora, o bom é que se você fizer isso no nível do aplicativo, qualquer invasor que entre diretamente no banco de dados, no sistema de arquivos ou no disco rígido não conseguirá ler os dados.”
Ele também chama isso de proteção de dados como serviço, em vez de criptografia como serviço, porque “o padrão (na proteção de dados) é uma maneira moderna de armazenar dados de maneira segura, que também oferece funcionalidade pronta para uso para privacidade. Portanto, você não precisa implementar todo o software exigido pelo GDPR”, disse ele. Ele foi desenvolvido tendo em mente a Lei de Privacidade do Consumidor da Califórnia (CCPA) e outras regulamentações de privacidade de dados.
Dabah afirma que a proteção de dados deve começar no nível do código.
“Fazer tudo a partir do código é o único lugar onde você tem todo o contexto do software sobre o que está acontecendo. Eventualmente, o software grava e lê dados de e para o banco de dados, certo?” ele disse.
“Portanto, se fizermos a criptografia aqui, qualquer pessoa que acesse diretamente o banco de dados simplesmente não poderá fazê-lo de forma eficaz. Então é isso que chamamos especificamente de mudança na segurança de dados para a esquerda. Porque o que estamos dizendo é que é uma responsabilidade compartilhada que cada desenvolvedor que está escrevendo o aplicativo seja capaz de proteger os dados diretamente do aplicativo e não confie em nenhum firewall ou pior, na segurança da API.”
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
